2012년 4월경 최초 확인되었던 PCYac 검색 도우미 프로그램과 함께 설치되던 KeywordYac 프로그램이 최근 악성 파일을 통해 사용자 몰래 설치되는 부분이 확인되었습니다.
▷ [삭제] PCYac + KeywordYac (2012.4.18)
이번 유포 사례의 경우에는 최종적으로 설치된 KeywordYac 검색 도우미 프로그램은 제어판을 통한 삭제 기능을 제공하고 있지만, 배포 및 설치 과정이 사용자 동의없이 악의적으로 이루어지고 있으므로 주의가 요구됩니다.
다양한 수익성 프로그램을 사용자 몰래 설치할 목적으로 제작된 "C:\Program Files\ipjdpig\ipjdpig.dll" 파일(MD5 : f120831dfab9d822419569e0fd0bba35)은 시스템 시작시 특정 서버로부터 다음과 같은 다운로드를 시도합니다.(※ AhnLab V3 : Adware/Win32.KorAd (VirusTotal : 21/46))
다운로드된 keywordyac3.exe (MD5 : ac215c6b87def6a5199d06177d6ca223) 파일은 "C:\pig01keywordyac3.exe" 파일로 생성되어 다음과 같은 형태로 등록됩니다.(※ AhnLab V3 : Win-Adware/KorAd.193391 (VirusTotal : 15/46))
참고로 KeywordYac 검색 도우미 프로그램을 사용자 몰래 설치를 시도하는 keywordyac3.exe 파일은 2013년 2월 13일경부터 확인되고 있으며, 안랩 클라우드(AhnLab Cloud) 기준으로 4,000대 가량 발견되고 있습니다.
C:\Documents and Settings\(사용자 계정)\Application Data\temp\keywordyac2.exe
- MD5 : 32f05fc5b9d6c981e06d7c87e84e9ca3
- AhnLab V3 : Win-Adware/KorAd.137907 (VirusTotal : 14/46)
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- keywordyac3 = "C:\Documents and Settings\(사용자 계정)\Application Data\temp\keywordyac2.exe"
생성된 keywordyac2.exe 파일은 시작 프로그램(RunOnce) 레지스트리 값에 자신을 등록하여 시스템 재부팅시 자동 실행 및 자가 삭제 처리되도록 구성되어 있습니다.
C:\Documents and Settings\(사용자 계정)\Application Data\temp\keywordyac1.exe
- MD5 : cfa310360d1d9e079556a89aef62a965
- nProtect : Trojan/W32.Agent.76003 (VirusTotal : 8/43)
시스템 재부팅이 이루어지면 "keywordyac2.exe → keywordyac1.exe" 파일을 생성하며, 생성된 keywordyac1.exe 파일은 다음과 같은 다운로드를 통해 KeywordYac 검색 도우미 프로그램 설치 파일을 받아 백그라운드 방식으로 설치 완료한 후 자가 삭제 처리됩니다.
C:\Documents and Settings\(사용자 계정)\Application Data\temp
C:\Documents and Settings\(사용자 계정)\Application Data\temp\KeywordYacSetup_177_Hide.exe :: KeywordYac 설치 파일
C:\Documents and Settings\(사용자 계정)\Templates\KeywordYac_License.rtf
C:\Program Files\KeywordYac
C:\Program Files\KeywordYac\KeywordYac.exe :: 메모리 상주 프로세스
C:\Program Files\KeywordYac\KeywordYacUpdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\KeywordYac\unins000.dat
C:\Program Files\KeywordYac\unins000.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\temp\KeywordYacSetup_177_Hide.exe
- MD5 : 194f1d7ebb64f255f28aefaacea9e70c
- Dr.Web : Adware.KeywordYac (VirusTotal : 8/46)
C:\Program Files\KeywordYac\KeywordYac.exe
- MD5 : 29ae649556e96c76796e2355c173886b
- AhnLab V3 : PUP/Win32.Helper (VirusTotal : 5/46)
C:\Program Files\KeywordYac\KeywordYacUpdate.exe
- MD5 : fa3a33346b591ee8df6ec2424ee6b698
- AhnLab V3 : PUP/Win32.Helper (VirusTotal : 4/46)
사용자 몰래 설치된 KeywordYac 검색 도우미 프로그램은 Windows 시작시 KeywordYacUpdate.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 업데이트 체크를 통해 KeywordYac.exe 파일을 로딩합니다.
설치된 KeywordYac 프로그램은 "NotSearchList" 레지스트리 값에 광고 노출을 차단한 도메인을 등록하고 있으며, "SearchKeywordUrlList" 레지스트리 값에는 광고 노출을 위한 검색 키워드 도메인을 등록하고 있습니다.
이를 통해 사용자가 포털 사이트 등에서 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 추가적인 광고창을 생성하는 동작을 확인할 수 있습니다.
해당 광고 동작은 메모리에 상주하는 KeywordYac.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 KeywordYac.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판의 "KeywordYac" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Documents and Settings\(사용자 계정)\Application Data\temp\KeywordYacSetup_177_Hide.exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\KeywordYac
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- KeywordYac = C:\Program Files\KeywordYac\KeywordYacUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5273F545-7D19-4ABA-8208-E9BF1AE38C30}_is1
KeywordYac 검색 도우미 프로그램은 기존 분석 내용에서는 제어판을 통한 삭제 기능을 제공하지 않았던 것에 비해 이번에는 정상적으로 삭제 기능을 제공하고 있지만, 사용자 몰래 설치되는 배포 방식이 존재하므로 사용자는 Anti-Virus 제품을 이용하여 정밀 검사를 통해 이런 프로그램들을 몰래 설치하는 악성 파일을 찾아 제거하시기 바랍니다.